I&A dựa trên việc xác định cái gì thuộc về người sử dụng

Một phần của tài liệu bảo mật mạng và internet (Trang 61 - 64)

2.3 Bảo mật mạng

2.3.3.3 I&A dựa trên việc xác định cái gì thuộc về người sử dụng

Các công nghệ nhận thực trắc nghiệm sinh học sử dụng các đặc trưng duy nhất (thuộc tính) của một cá nhân để nhận thực. Những đặc trưng này bao gồm các thuộc tính sinh lý học (như dấu vân tay, hình bàn tay, hình dạng võng mạc) hoặc các thuộc tính khác như giọng nói, chữ kí …Các cơng nghệ trắc nghiệm sinh học đã được phát triển cho các ứng dụng đăng nhập máy tính.

Nhận thực trắc nghiệm sinh học là kĩ thuật phức tạp, và người sử dụng có thể rất khó khăn khi chấp nhận nó. Tuy nhiên, những ưu điểm của nó làm cho cơng nghệ này được tin tưởng hơn, ít chi phí và thân thiện với người sử dung. Các hệ thống trắc nghiệm sinh học có khả năng cung cấp mức độ bảo mật cao cho các hệ thống máy tính, nhưng cơng nghệ này lại khơng hồn thiện hơn thẻ nhớ và thẻ bài thông minh. Sự khơng hồn hảo trong các thiết bị nhận thực xuất hiện từ những khó khăn kỹ thuật gặp phải khi thực hiện đo lường và định hình các thuộc tính vật lý. Vì những điều này có thể thay đổi tùy thuộc vào những hồn cảnh khác nhau. Ví dụ như mẫu thoại của một người có thể thay đổi theo do điều kiện căng thẳng hoặc khi bị đau cổ do viêm họng hoặc bị thương.

Các hệ thống trắc nghiệm sinh học là loại sử dụng nhiều phương pháp nhận thực khác nhau trong các mơi trường địi hỏi bảo mật cao.

Sự thực thi các hệ thống I&A

Một số thực thi quan trọng đưa ra cho các hệ thống I&A bao gồm quản lý, duy trì nhận thực, và đăng nhập riêng lẻ.

Quản lý :

Quản lí dữ liệu nhận thực là một yếu tố then chốt cho tất cả các loại hệ thống nhận thực. Các hệ thống I&A cần tạo, phân phối, và lưu trữ dữ liệu nhận thực. Đối với các mật khẩu, điều này bao gồm việc tạo các mật khẩu, phân phát chúng làm

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

dấu hiệu người sử dụng, và duy trì một file mật khẩu. Các hệ thống thẻ bài bao gồm việc tạo và phân phối các Thẻ bài/PIN và dữ liệu để thơng báo với máy tính các Thẻ bài/PIN như nào gọi là hợp lệ.

Đối với các hệ thống trắc nghiệm sinh học, điều này bao gồm việc tạo và lưu trữ những mô tả sơ lược. Các tác vụ tạo và phân phối dữ liệu nhận thực và các thẻ bài có thể rất quan trọng. Dữ liệu nhận thực phải được ổn định ở trạng thái hiện thời bằng việc bổ sung những người sử dụng mới và xóa bỏ những người sử dụng cũ. Nếu việc phân phối các mật khẩu và các thẻ bài không được điều khiển, các nhà quản lý hệ thống sẽ không biết nếu họ đã định sẵn một ai đó khơng phải người sử dụng hợp pháp. Các hệ thống nhận thực phải đảm bảo rằng dữ liệu nhận thực phải được liên kết vững chắc với một cá nhân nhât định. Hơn nữa, các tác vụ quản lý I&A nên đánh địa chỉ các mật khẩu hoặc các thẻ bài đã mất hoặc bị đánh cắp. Thông thường, điều này là cần thiết để các hệ thống kiểm tra tìm kiếm dễ dàng hoặc chia sẻ các trường mục

Dữ liệu nhận thực cần phải được lưu trữ cẩn thận. Giá trị của dữ liệu nhận thực là khơng trung thực trong độ tin cậy, tính tồn vẹn và tính hiệu lực của dữ liệu. Nếu độ tin cậy bị thỏa hiệp, một người nào đó có thể sử dụng thơng tin để giả mạo một người sử dụng hợp pháp. Nếu các nhà quản lý hệ thống có thể đọc các tệp tin nhận thực, họ có thể giả mạo một người sử dụng khác. Nhiều hệ thống sử dụng mật mã để dấu dữ liệu nhận thực với các nhà quản lý hệ thống. Nếu tính tồn vẹn bị thỏa hiệp, dữ liệu nhận thực có thể bị thêm vào hoặc hệ thống có thể bị phá vỡ. Nếu tính hiệu lực bị thỏa hiệp, hệ thống không thể nhận thực người sử dụng, và người sử dụng không thể thực hiện công việc.

Duy trì nhận thực :

Đến bây giờ, chương này chỉ đề cập đến nhận thực ban đầu. Rất có thể một người nào đó sau khi nhận thực sử dụng một tài khoản hợp pháp của ai đó. Nhiều hệ thống máy tính sử lý vấn đề này bằng cách trục xuất một người sử hoặc khóa phần hiển thị hoặc phiên làm việc sau một khoảng thời gian ngừng hoạt động cố

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

đinh. Tuy nhiên, các phương thức này có thể ảnh hưởng tới hiệu quả và làm cho máy tính kém thân thiệt với người sử dụng.

Đăng nhập đơn lẻ :

Xét từ góc độ hiệu quả, những người sử dụng mong muốn việc nhận thực họ chỉ thực hiện một lần và sau đó có thể truy nhập vào một phạm vi rộng lớn các ứng dụng khác nhau và dữ liệu sẵn có trong các hệ thống nội hạt và các hệ thống xa, thậm chí nếu các hệ thống này yêu cầu sử dụng thẻ bài nhận thực họ. Việc này được gọi là đăng nhập riêng lẻ. Nếu truy nhập đi qua nhiều lớp, khi đó tạo ra nhiều phức tạp. Có ba kĩ thuật chính có thể cung cấp đăng nhập riêng lẻ qua nhiều máy tính : Nhận thực Host – tới – Host, Nhận thực Server, và Nhận thực người sử dụng – tới - Host

 Nhận thực Host – tới - Host : Theo phương pháp này, người sử

dụng nhận thực bản thân họ tới một máy tính một lần. Sau đó, máy tính này nhận thực nó tới các máy khác và xác nhận người sử dụng cụ thể. Nhận thực Host – tới – Host có thể được thực hiện bằng cách thông qua một thông tin nhận dạng, một mật khẩu, hoặc bằng cơ chế challenge – response hoặc cơ chế mật khẩu một lần. Theo phương pháp này điều cần thiết cho các máy tính là cơng nhận và tin cậy lẫn nhau.

 Nhận thực Server: Khi sử dụng nhận thực server, người sử dụng

nhận thực họ tới một máy chủ đặc biệt (nhận thực server). Sau đó, máy tính này nhận thực tới các máy chủ khác mà người sử dụng muốn truy nhập. Theo phương pháp này, điều cần thiết là các máy tính phải tin tưởng Server nhận thực (server nhận thực khơng cần phải là một máy tính riêng biệt, mặc dù trong một số mơi trường điều này có thể mang lại hiệu quả làm tăng tính bảo mật của server). Các server nhận thực có thể được phân phối theo địa lý hoặc logic nếu cần thiết, để giảm khối lượng công việc.

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

 User – tới – Host : một phương pháp nhận thực User – tới –

Host yêu cầu người sử dụng đăng nhập tới mỗi máy chủ. Tuy nhiên, một thẻ bài thông minh (như là một Card thơng minh) có thể bao gồm tồn bộ dữ liệu nhận thực và thực hiện dịch vụ cho người sử dụng. Đối với người sử dụng, điều đó xem như là họ chỉ phải nhận thực một lần.

Sự phụ thuộc lẫn nhau giữa I&A

Có nhiều sự phụ thuộc lẫn nhau giữa I&A và các điều khiển khác bao gồm:  Các điều khiển truy nhập logic : Các điều khiển truy nhập được cần đến để bảo vệ cơ sở dữ liệu nhận thực. I&A thường là cơ sở cho các điều khiển truy nhập. Các modem Dial-back và các tường lửa, có thể giúp ngăn chặn các hacker cố gắng đăng nhập.

 Kiểm định : Kiểm định I&A là cần thiết nếu một bản ghi kiểm định sẽ được sử dụng cho giải trình cá nhân.

 Mật mã : Mật mã cung cấp hai dịch vụ cơ bản cho I&A : Nó bảo vệ độ tin cậy của dữ liệu nhận thực, và nó cung cấp các giao thức cho việc cung cấp kiến thức và sở hữu thẻ bài không phải truyền dữ liệu mà có thể thực hiện lại việc truy nhập hệ thống máy tính. Kerber và SPX là các ví dụ về các giao thức Server nhận thực mạng. Cả hai giao thức sử dụng mật mã để nhận thực người sử dụng tới các máy tính trên các mạng.

Một phần của tài liệu bảo mật mạng và internet (Trang 61 - 64)

Tải bản đầy đủ (DOC)

(111 trang)
w